关于Winnt/2k IDT的一些思考(续)

韩冰

文章内容：
+ w8 F% d" g6 J) f8 t, E. U) U--------------------------------------------------------------------------------
5 F- d* D, ?0 @, T, |( v作者：suxm < suxm@nsfocus.com >
7 ~8 i" ]$ a9 s+ k7 F主页：http://www.nsfocus.com
日期：2001-09-10

# n/ ]. t5 n; f. }; P/ n<<接上期>>

3 t& n) e4 q6 g5 [1 J! M/ }; _IDT是定义硬件中断映射的表，当硬件中断发生的时候，CPU会直接把控制权交到IDT的相应ISR中去运行，根本不去关心是否有Kernel Interrupt Object(CPU根本不知道Kernel Interrupt Object是什么)。

' \$ r) q0 v' ]# p! [( _[ 读者小强：啊？？？！！！想不到Interrupt Object这么不重要？？？那Interrupt Object在中断发生的过程中扮演着什么角色呢？]
5 X- A, o/ P) q呵呵，别忙，Interrupt Object还是很重要的。当你调用IoConnectInterrupt()的时候，Kernel会构造Interrupt Object. 然后Kernel把Interrupt Object的地址放到IDT的相应表项中。这就是说，当中断发生的时候，CPU会把控制权交到IDT相应表项所对应的ISR中，而这个ISR，就 是Interrupt Object中的代码。现在明白了吧？我们可以这样理解，中断发生的时候，相应的Interrupt Object被调用。
5 z4 Q6 @* H# L3 e# D下面我们将要演练一下如何在NT下hook系统中断，以使读者对以上基础知识理解得更加深刻。
/ Z, s1 [" `6 F5 R  ?在开始激动人心的练习之前，我们有必要再强调一下上面的几个概念：Trap/Interrupt gate描述符、IDTR、Interrupt Object。
通过sidt这条汇编指令，可以获得IDTR的内容，由此，可以得到IDT的Base Address（基址）和Limit（最大的长度限制）。一旦得到IDT 的Base Address，我们就可以找到想要hook的中断号，然后@#@!$!@$@#$@#%$^$……，对不起，刚才晕倒了，太激动了。然后，我们改变 那个我们想要替换的IDT表项的Code Segment Selector和Offset，当然，别忘了备份好被替换的Code Segment Selector和Offset。并要确保新 的中断处理函数能正常调用原来的中断处理函数（这就相当于把新的中断处理函数插在了原中断处理函数之前，但是不影响原中断处理函 数的使用）。
& [2 ]) J% t0 r' D4 O2 G# ~[ 读者小强：什么是IDT表项的Code Segment Selector和Offset呀？]
[ suxm: 去看看上一期月刊的图1 ]
下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、替换并备份IDT表项”的功能。

/* 在Winnt和Win2k下，RTC时钟中断被映射到IDT的第0x38项 */
#define HOOKINT 0x38
& m+ z6 f* K4 JNTSTATUS DriverSpecificInitialization( )
{
0 _, e3 q% d0 @  b6 v4 mPIdtEntry_t IdtEntry;
: ~1 X6 J# {* O0 Mextern PServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NumberOfServices = KeServiceDescriptorTable->NumberOfServices;
5 `3 K& u& w, [% M- N: ]$ CServiceCounterTableSize = (NumberOfServices+1)*sizeof(int);
ServiceCounterTable = ExAllocatePool(PagedPool, ServiceCounterTableSize);
$ L+ L+ A: y, a8 V) G9 J. ?+ Q
4 [! v, @2 y# ^  `/* 有必要检查一下，有时候内存不足会导致ExAllocatePool返回NULL */
9 ^& _  f6 K0 l: e. _if (!ServiceCounterTable)
return STATUS_INSUFFICIENT_RESOURCES;
5 l, a$ \* y3 g5 c7 G9 |$ Q3 s+ o
memset(ServiceCounterTable, 0, ServiceCounterTableSize);
*ServiceCounterTable=NumberOfServices;
6 v! ~+ D$ W# F8 W8 v$ D' T$ ?: `
* P2 r6 L8 g( |5 q6 ?/* 获得IDTR Register 的Base Address和Limit*/
; C/ ]* ^- L" a_asm sidt buffer
IdtEntry=(PIdtEntry_t)Idtr->Base;

" K; Q/ \/ q2 D$ l/* HOOKINT就是我们想要hook的中断号
, F4 h8 i' d, C# g' K% {6 b1 J5 ^这条语句的作用是找到我们要hook的IDT表项，然后备份原来的内容*/
  b6 G2 }& }7 ]1 n% h; G/ C' KOldHandler = ((unsigned int)IdtEntry[HOOKINT].OffsetHigh<<16U)|
3 W+ n# Y% A) S# J(IdtEntry[HOOKINT].OffsetLow);

/* 在IDT表项的相应位置写入新的中断处理函数的地址
9 w  t/ c5 S# `; w3 X+ Y用新的中断处理函数替换原中断处理函数 */
_asm cli /* 这里注意，因为中断说不准会在这时候发生，所以要先diable中断 */
IdtEntry[HOOKINT].OffsetLow = (unsigned short)NewHandler;
IdtEntry[HOOKINT].OffsetHigh = (unsigned short)((unsigned int)NewHandler>16);
. H2 k4 s* r5 ~/ y5 }_asm sti /* Enable中断请求 */

return STATUS_SUCCESS;
' F  d1 c$ H2 a% X$ O; V/ K/ y}

上面是对IDT表项进行hook，我们只是修改了相应表项的Code Segment Offset。经过替换后，新的中断处理函数与原中断处理函数的“性 质相似”，即表项中其余的字段相同。如果读者对这句话不理解，那就请看IDT表项的数据结构。
+ t* J. E7 P% {: [1 btypedef struct InterruptGate
- V4 f9 ~4 T8 ]: w3 i{
( j" J3 i( L$ N7 J; iunsigned short OffsetLow;
" L0 U+ e8 F9 g: V: Junsigned short Selector;
unsigned char Reserved;
unsigned char SegmentType;
7 t) t7 v! i) Eunsigned char SystemSegmentFlag;
& J( L& _" u' B% J7 Xunsigned char Dpl;
unsigned char Present;
# c" n, r# }- O; N: e# Qunsigned short OffsetHigh;
} InterruptGate_t;

/ T  ^4 e, y- ~" H) F) i) M在上面的例子中，OffsetLow和OffsetHigh被改写了，从而hook了中断。让我们思考这样一个问题：如果IDT的相应表项没有内容呢，也就 是说，如果我们想让IDT的空表项指向我们的中断处理函数，又该怎么办呢？
3 X+ T) r3 ]* K5 n# T% p, r2 I+ w
- B% X. l6 H* k1 q  {, F[ 读者小强：Winnt和2K的IDT中有空表项吗？]
是的，比如说，在Winnt下，IDT表项的第22h---29h就是空表项。 这就是说我们可以给Winnt加入新的中断。但是，这里有了新的难度， 我们必须认真理解和填写上面数据结构InterruptGate中的所有字段。
* E5 i8 \# q( K% O. [! _下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、填写IDT表项所有字段”的功能。
NTSTATUS AddInterrupt()
9 j( e9 x5 R4 X9 K) |$ o5 y* j{
/ a& C# u1 i0 |PIdtEntry_t IdtEntry;
% _5 S! }  l8 [1 B$ h
: q- Y$ ?2 r* M( v8 n. r- s/* 获得IDTR Register 的Base Address和Limit*/
_asm sidt buffer
5 U3 [& @) o$ u( C" K0 q% u/ O% N" \IdtEntry=(PIdtEntry_t)Idtr->Base;
" u, q- Z+ _0 h/ X% hif((IdtEntry[ADDINT].OffsetLow!=0)||(IdtEntry[ADDINT].OffsetHigh!=0))
9 K8 ^. ]& ^# k$ S' f% P* \+ ]* l$ i- D' {return STATUS_UNSUCCESSFUL;
2 a  t  b/ w- Q9 q
_asm cli

/* 填写IDT表项的所有字段，使新的IDT表项指向我们的中断处理函数 */
1 B5 e- ~/ |* Z5 i4 CIdtEntry[ADDINT].OffsetLow=(unsigned short)InterruptHandler;
IdtEntry[ADDINT].Selector=8;
3 [6 T8 |' W& V; c! ]* S/ |IdtEntry[ADDINT].Reserved=0;
IdtEntry[ADDINT].Type=0xE;
IdtEntry[ADDINT].Always0=0;
IdtEntry[ADDINT].Dpl=3;
IdtEntry[ADDINT].Present=1;
/ V0 }& K( s9 I9 JIdtEntry[ADDINT].OffsetHigh=
! F: n' U4 }/ v! w! o- `: i(unsigned short)((unsigned int) InterruptHandler>16);
_asm sti

return STATUS_SUCCESS;
}
) X8 Y/ R% i* l  K3 D1 u; R
$ q1 e7 H& ?, M+ G2 Q, c& s' a% [  R让我们就上面的代码提一些问题。
6 u7 W% e2 u7 B! b' v2 {3 m9 MQ: 上面的代码IdtEntry[ADDINT].Selector=8; 这是怎么回事？
0 [# A7 l4 m) q+ UA：按Ctrl+D进到Softice里，你会发现，所以的system代码，都存在于一个段中。这
个段的名称就是8（CS=8）。
- [. h: S8 c6 a
( l5 w! b0 z1 k7 I2 @Q: 上面的代码IdtEntry[ADDINT].Dpl=3; 这是怎么回事？
" C9 z$ R' k* V3 }% kA：问得好，小强。这说明，这个中断可以在应用程序中，通过int xxx的形式触发。因为
+ L3 H2 p! G8 a( L, D; ?/ m应用程序的DPL=3，所以，可以直接触发这个中断。

/ u- G2 o2 Z6 Y4 E3 ]; I* [- oQ: 上面的代码IdtEntry[ADDINT].Type=0xE; 这是怎么回事？
A：按Ctrl+D进到Softice里，然后敲入指令idt。输出如下
: g/ _$ N1 f  j2 }:idt
Int Type Sel:Offset Attributes Symbol/Owner
IDTbase=80036400 Limit=07FF
9 D4 |/ R! V2 X) Y0 ^8 u1 o+ N0000 IntG32 0008:80465946 DPL=0 P ntoskrnl!Kei386EoiHelper+0590
0001 IntG32 0008:80465A96 DPL=3 P ntoskrnl!Kei386EoiHelper+06E0
; s; m' y, i- q; w; B( E0 A……
) _$ H6 M% t- [# g可见，0xE表示IntG32。

. K, S2 n, P& L" S$ f1 h; K4 E( s终于快到下课的时间了，让我再多说几句好吗？
通过对Winnt/2k IDT的分析，我们对IDT有了一些基本认识。上面介绍的通过修改IDT来hook中断的方法，是很危险的。笔者强烈建议读 者尽量通过Winnt/2k DDK官方资料提供的API来实现hook中断的功能。